アラート:機微データ

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、ユーザー名やIPアドレスなど、ESAがSecurity Analyticsコアから受信した機微データを処理する方法について説明します。DPO(データ プライバシー責任者)ロールは機微データを含むメタ キーを特定し、難読化されたデータを表示できます。ESAは、機微データを表示または格納しません。結果として、ESAは、機微データをインシデント管理に渡しません。

オプションで、ESAは、難読化された機微データをイベントに追加できます。たとえば、DPOがuser_dstを機微データに指定したとします。ESAは、user_dst_hashなどの難読化したデータをイベントに追加できます。難読化されたメタは機微データではないため、ESAは、その他の非機微データと同じ方法で表示および格納します。

データを難読化する戦略と利点の詳細については、「Security Analyticsデータ プライバシーの管理ガイド」を参照してください。

このトピックでは、次の項目について説明します。

  • ESAがSecurity Analyticsコアから受け取った機微データを処理する方法
  • 詳細EPLルールで機微データの漏えいを防止する方法

Security Analyticsのコアからの機微データをESAが処理する方法

ESAは、Security Analyticsコアから機微データを受け取ると、難読化されたデータのみを送出します。ESAは、機微データの格納と表示を行いません。

次の機能が影響を受けます。

  • 出力:ESAは、機微データを出力に転送しません。出力には、アラート、通知、MongoDBストレージが含まれます。
  • 詳細EPLルール:EPLステートメントで機微メタ キーのエイリアスを作成する場合、機微データが漏えいします。このトピックでは、漏えいが発生する状況と回避方法について説明しています。
  • エンリッチメント:結合条件で機微メタ キーが使用された場合、機微データが漏えいします。このトピックでは、漏えいが発生する状況と回避方法について説明しています。

詳細EPLルール

EPLクエリー ステートメントによって機微メタ キーの名前が変更されると、データは保護されなくなります。

ESAは、機微メタ キーを名前で識別します。

ip_srcは機微メタ キーです。
ip_src_hashは、難読化されているため機微ではありません。

データ プライバシーを確保するため、EPLクエリーで機微メタ キーの名前を変更しないでください。機微メタ キーの名前を変更すると、それ以降データは保護されなくなります。

たとえば、select ip_src as ip_alias...のようなルールではip_aliasには機微データが含まれますが、ESAは、ip_aliasではなくip_srcのみ認識しているため、機微データは保護されません。この場合、IPアドレスは難読化されません。実際の値が表示されることになります。

エンリッチメント ソース

結合条件で機微メタ キーが使用された場合、機微データが表示される可能性があります。

結合条件の相手であるエンリッチメント データベースには、機微メタ キーに一致する列が1つ存在します。この相互参照は、難読化された値ではなく、実際の値に対するものです。その結果として、実際の値が表示されます。

次の例では、結合条件の両方の部分がハイライト表示されています。

DataObEnr.png

  • ip_srcには、機微データが含まれます。
  • ipv4はアラートに追加され、非機微データとして表示されます。

しかし、ipv4値はip_src値と同じであるため、ipv4には機微データが含まれており、結果として機微データが表示されることになります。 

You are here
Table of Contents > ESAでのアラート生成方法 > 機微データ

Attachments

    Outcomes